[发明专利]一种信息系统进程安全管理系统及管理方法

说明书

技术领域

本发明涉及计算机技术领域，具体涉及一种信息系统进程安全管理方法。

背景技术

进程是一个具有独立功能的程序关于某个数据集合的一次运行活动。它可以申请和拥有系统资源，是一个动态的概念，是一个活动的实体。它不只是程序的代码，还包括当前的活动，通过程序计数器的值和处理寄存器的内容来表示。进程是操作系统中最基本、重要的概念，是多道程序系统出现后为了刻画系统内部出现的动态情况和描述系统内部各道程序的活动规律引进的一个概念。所有多道程序设计操作系统都建立在进程的基础上。

进程为应用程序的运行实例，是应用程序的一次动态执行。进程包括系统进程、用户进程和服务进程，此外还有一些非法进程。这些非法进程是由一些用户不知道的、自动运行的非法程序产生，如一些木马病毒程序。

随着信息化的飞速发展和大数据时代的到来，伴随而来的网络系统安全问题越来越多地出现在计算机领域。不管是互联网范围内的环境还是局域网中，均存在各种各样的进程管理安全隐患问题。尤其是近年来，随着黑客技术的不断提高，一些新的木马病毒程序非法隐藏于系统中，通过系统进程管理器不易察觉，给用户管理带来很大安全隐患。为防止恶意进程以及不必要的程序的非法启动，对进程管理的安全策略研究显得尤为重要。

现有的进程管理方法多采取特征码技术，尤其是基于特征码的静态扫描。它是对用户指定的某个或某几个文件进行扫描，以确定是否包含非法程序的特征码。具体实现时，它最初是采用对待测文件二进制格式全部扫描的方式。但在目前病毒、木马、蠕虫及其变种的总数惊人的情况下，这种方式显然效率低下。即使出现了一些用来提高特征码扫描效率的技术，但病毒、木马等恶意代码的编写和制作技术的发展依然给特征码技术在进程管理的运用带来了极大挑战。此外，使用特征码技术在扫描时查找的是各个已知恶意代码的特征码，因此这种技术不具备检测未知恶意代码的能力。

发明内容

本发明提供一种信息系统进程安全管理系统及相应的进程安全管理方法，能够快速高效地对系统进程进行分析和合法性判断，此外对于特征码未知的恶意代码也具有检测能力。本发明还可以实现对异常进程进行报警。

本发明的技术方案如下：

一种信息系统进程安全管理系统，包括：

进程PID采集模块，用于对信息系统中进程的PID进行检测采集；

记录存储模块，用于存储进程PID采集模块采集的进程PID信息并建立索引；

进程分析模块，用于分析进程行为，并与信息系统中的其他进程进行比对；

进程合法性逻辑判断模块，用于接收进程分析模块对进程行为分析、比对的结果并进行合法性判断；

报警模块，用于对由进程合法性逻辑判断模块判定为异常的进程进行报警。

进一步地，所述记录存储模块还存储进程分析模块的分析结果。

进一步地，所述记录存储模块还存储进程合法性逻辑判断模块对进程合法性的判断结果。

本发明还提供一种信息系统进程安全管理方法，通过恶意码与行为分析相结合对进程行为合法性进行判断并对异常进程进行报警，具体包括如下步骤：

步骤A、进程PID采集模块对系统中进程的PID进行检测采集；

步骤B、记录存储模块对步骤A中进程PID采集模块的检测采集结果进行存储，并建立索引；

步骤C、进程分析模块对进程行为进行基于特征码的静态扫描，并与信息系统中其他进程行为相比对；静态扫描和行为比对的结果传输至记录存储模块存储；

步骤D、进程合法性逻辑判断模块接收步骤C中的静态扫描以及比对结果，并进行进程合法性判断；如果判断结果非法，则执行步骤E，如果判断结果合法，则执行步骤F；

步骤E、报警模块对步骤D中被判定为非法的进程进行报警提示；

步骤F、进程合法性逻辑判断模块将逻辑判断的结果传输至记录存储模块存储。

进一步地，报警模块进行报警提示的方式为在桌面终端弹出提示窗口。

本发明具有如下技术效果：本发明的信息系统进程安全管理系统及相应的进程安全管理方法，通过采用特征码与行为分析相结合实现对进程行为的分析和合法性判断，能够对特征码已知的一些恶意代码进行快速扫描，进而快速判断出一些已知非法程序产生的非法进程；同时，由于采用了行为分析技术，因此对于特征码未知的恶意代码，即未知或新型的非法程序产生的非法进程也具有检测能力。本发明还具有报警模块，可以实现对异常进程进行报警并提示用户选择对非法进程的处理方式。

附图说明